Implementación de un UTM para la seguridad informática en UPB seccional Montería.

IMPLEMENTACIÓN DE UN UTM (UNIFIED THREAT MANAGEMENT) PARA LA SEGURIDAD INFORMÁTICA EN LA UNIVERSIDAD PONTIFICIA

BOLIVARIANA SECCIONAL MONTERÍA

LUIS ENRIQUE MADERA SALGADO

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA MONTERÍA – CÓRDOBA

2

IMPLEMENTACIÓN DE UN UTM (UNIFIED THREAT MANAGEMENT) PARA LA SEGURIDAD INFORMÁTICA EN LA UNIVERSIDAD PONTIFICIA

BOLIVARIANA SECCIONAL MONTERÍA

LUIS ENRIQUE MADERA SALGADO

Monografía para optar el título de Especialista en Seguridad Informática

Asesor

Esp. Ing. Freddy Enrique Acosta

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

3

Nota de Aceptación _______________________________________ _______________________________________ _______________________________________ _______________________________________ _______________________________________ _______________________________________

_______________________________________ Presidente del Jurado

_______________________________________ Jurado

_______________________________________ Jurado

4

DEDICATORIA

A Dios. Por darme la salud, bondad y amor para poder lograr mis nuevos logros a nivel profesional y mis objetivos de vida.

A mi esposa Luz Stella, por haberme apoyado en todo momento sacrificando el tiempo que se debe compartir en familia por el dedicado por mí para el estudio por las noches y fines de semana, por su gran apoyo para momentos difíciles y motivación para la culminación de esta especialización.

A mi madre Cenobia que está en los cielos, por darme los valores humanos, disciplina y el amor en mi formación personal y profesional a pesar de las dificultades familiares y económicas.

A Dios. Por darme la salud, bondad y amor para poder lograr mis nuevos logros a nivel profesional y mis objetivos de vida.

A mi esposa Luz Stella, por haberme apoyado en todo momento sacrificando el tiempo que se debe compartir en familia por el dedicado por mí para el estudio por las noches y fines de semana, por su gran apoyo para momentos difíciles y motivación para la culminación de esta especialización.

A mi madre Cenobia que está en los cielos, por darme los valores humanos, disciplina y el amor en mi formación personal y profesional a pesar de las dificultades familiares y económicas.

5

AGRADECIMIENTOS

Luis Enrique expresa sus agradecimientos a:

Esp. Ing. Freddy Acosta por su importante orientación metodológica en el desarrollo de este proyecto, por su dedicación y apoyo en el proceso de aprendizaje y aportes para la finalización del presente proyecto.

Quiero expresar también mis agradecimientos a mi familia por la comprensión del sacrificio de su tiempo y espacio familiar compartido para desarrollo de mi especialización y poder cumplir mis objetivos de vida planeados.

6

CONTENIDO

Pág.

LISTA DE TABLAS 11

LISTA DE FIGURAS 12

LISTA DE ANEXOS 15

GLOSARIO 16

RESUMEN 19

1. INTRODUCCIÓN 20

2. FORMULACIÓN DEL PROBLEMA 22

2.1 TÍTULO DESCRIPTIVO DEL PROYECTO 22

2.2 CAUSAS DEL PROBLEMA 22

2.3 CONSECUENCIAS DEL PROBLEMA 23

3. JUSTIFICACIÓN 24

4. OBJETIVOS GENERAL 25

4.1 OBJETIVOS ESPECÍFICOS 25

5. ALCANCES Y LIMITACIONES 26

5.1 ALCANCES 26

5.2 LIMITACIONES 26

6. MARCO REFERENCIAL 27

6.1. ESTADO DEL ARTE 27

7

6.1.2 Solución dada al Caso 28

6.1.3 Evolución tecnológica de UTM. 28

6.2. MARCO TEÓRICO 29

6.2.1 Redes TCP/IP. 29

6.2.2 Puertos de servicios Web. 31

6.2.3 Conexiones TCP. 32

6.2.4 Vulnerabilidades de la red. 35

6.2.5 Explotando la vulnerabilidad 36

6.2.6 Seguridad informática. 37

6.2.7 La prevención. 38

6.2.8 Protecciones. 38

6.2.8.1 La criptografía. 38

6.2.9 La recuperación. 40

6.3. MARCO CONCEPTUAL 40

6.3.1 Firewall. 40

6.3.2 Clasificación de los Firewall. 41

6.3.3 Arquitectura de firewalls. 42

6.3.4 NAT 44

6.3.5 NAPT. 44

6.3.6 SPOOFING. 44

6.3.7 FRAGMENTACIÓN. 44

6.3.8 UTM (Unified Threat Management 44

8

6.3.10 Rendimiento. 45

6.3.11 Balanceo de carga. 45

6.4. CIBERSEGURIDAD 46

6.5. MARCO LEGAL 46

6.5.1 Ley 527 de 1999 46

6.5.2 Ley 1266 de 2008 46

6.5.3 Ley 1273 de 2009 46

6.5.4 Ley 1581 de 2012 47

6.5.6 Ley 1712 de 2014 47

6.5.7 Decreto 1727 de 2009 47

6.5.8 Decreto 2952 de 2010 47

6.5.9 Decreto 1377 de 2013 47

6.5.10 Decreto 886 de 2014 47

6.5.11 La Ley de Libertad de Información, 5 U.S.C. § 552 48

7. DISEÑO METODOLÓGICO 49

7.1. POBLACIÓN Y MUESTRA 49

7.2. PLANEACIÓN 50

7.3. EJECUCIÓN 51

7.4 . SOLUCIÓN PROPUESTA 52

7.5 . CAPACITACIÓN Y PRUEBAS 53

9

8. IDENTIFICACIÓN DE LA INFRAESTRUCTURA ACTUAL DE LA RED INSTITUCIONAL DE UPB SECCIONAL MONTERÍA Y ANÁLISIS DE

VULNERABILIDADES 54

8.1. EXPLORACIÓN DE LA RED CON NMAP 57

8.2. ANÁLISIS DE VULNERABILIDAD DE LA RED 60

8.2.1 Análisis con Nmap de Kali-Linux. 60

8.2.2 Análisis de vulnerabilidad con Nessus 61

8.2.3 Análisis de tráfico de la red administrativa. 63

9. REDISEÑO TOPOLÓGICO DE LA RED DE UPB MONTERÍA 65

9.1. ESQUEMA DE ASIGNACIÓN IP EN LA SECCIONAL UPB MONTERÍA 67

9.2. ELABORACIÓN DE REQUERIMIENTOS 71

10. ANÁLISIS DE DIFERENTES TECNOLOGÍAS FIREWALL UTM 72

10.1. ANÁLISIS DE FIREWALL PALO ALTO NETWORKS 74

10.2. ANÁLISIS DE FIREWALL FORTINET 76

10.3. CHECK POINT 78

11. IMPLEMENTAR UN FIREWALL UTM (INIFIED THREAT MANAGEMENT) DE NUEVA GENERACIÓN DE ACUERDO AL ANÁLISIS DE LA TECNOLOGÍA Y

VIABILIDAD ECONÓMICA MÁS ADECUADA PARA UPB 80

11.1. CRITERIOS DE EVALUACIÓN 81

11.2. ESTUDIO FINANCIERO 88

12. IMPLEMENTACIÓN DEL FIREWALL PALO ALTO NETWOR PA-3060 90

12.1 REQUERIIENTOS 92

10

12.3 DISEÑO LÓGICO 92

12.4 DIAGRAMA DE CONEXIONES 93

12.5 ARQUITECTURA DE SEGURIDAD 94

12.6 PERFILES DE SEGURIDAD 94

12.7 RECOMENDACIONES GENERALES 95

12.8 CREACIÓN DE REGLAS DE SEGURIDAD 96

12.9 MONITOREO DE SERVIDORES 100

13. PROPUESTA DE POLÍTICAS Y REGLAS DE FILTRADO PARA EL GESTOR UNIFICADO DE AMENAZAS, CON BASE A LOS HALLAZGOS O NOTIFICACIONES DE LOS REPORTES GENERADOS POR EL UTM 102

14. RESULTADOS E IMPACTO ESPERADO 103

14.1 RESULTADOS ESPERADOS 103

14.2 IMPACTO ESPERADO 104

CONCLUSIONES 105

RECOMENDACIONES 106

BIBLIOGRAFÍA 107

11

LISTA DE TABLAS

Pág.

TABLA 1. PUERTO TCP/UDP 32

TABLA 2. COMUNIDAD EDUCATIVA 50

TABLA 3. TAMAÑO DE LA MUESTRA 50

TABLA 4. TRÁFICO DE LA RED DE UPB MONTERÍA. 63

TABLA 5. LISTADO Y ROLES DE SERVIDORES. 64

TABLA 6. DISTRIBUCIÓN DE IP UPB MONTERÍA 68

TABLA 7. SEGUNDO BYTE 69

TABLA 8. TERCER BYTE 70

TABLA 9. FUNCIONES DE TGP Y NGTX 79

TABLA 10. COMPARACIÓN ENTRE FIREWALL DE GAMA MEDIA 80

TABLA 11. COSTOS DE IMPLEMENTACIÓN PA-3060 88

TABLA 12. ANÁLISIS DE COSTOS DE DIFERENTE FIREWALL 89

12

LISTA DE FIGURAS

Pág.

FIGURA 1. GESTOR UNIFICADO DE AMENAZAS EN UNA RED 28

FIGURA 2. MODELO TCP/IP DE INTERNET 30

FIGURA 3. PETICIÓN DE CONEXIÓN 33

FIGURA 4. CONFIRMACIÓN DE CONEXIÓN TCP 34

FIGURA 5. ESTABLECIMIENTO DE LA CONEXIÓN TCP 35

FIGURA 6. ARQUITECTURA DE FIREWALL BASTIÓN. 42

FIGURA 7. ARQUITECTURA DE FIREWALL DMZ Y RED INTERNA. 42

FIGURA 8. ARQUITECTURA FIREWALL CONTENCIÓN-BASTIÓN 43

FIGURA 9. ARQUITECTURA ALTA DISPONIBILIDAD. 43

FIGURA 10. ESQUEMA DE PROTECCIÓN CON UTM 45

FIGURA 11. ESQUEMA DE CONECTIVIDAD DE UPB MONTERÍA 54

FIGURA 12. ESQUEMA DETALLADO DE LA RED LAN UPB MONTERÍA 56

FIGURA 13. ESCANEO DE LA RED 58

FIGURA 14. ESCANEO DE LA RED 58

FIGURA 15. ESCANEO DE FIREWALL DE RED WIFI 59

FIGURA 16. ESCANEO DE FIREWALL DE RED ADMINISTRATIVA 59

FIGURA 17. VULNERABILIDADES DE PROXY ACADÉMICO 60

FIGURA 18. VULNERABILIDADES DE SERVIDOR WEB 60

13

FIGURA 20. VULNERABILIDADES DEL FIREWALL WIFI 61

FIGURA 21. ESCANEO DE VULNERABILIDAD CON NESSUS 62

FIGURA 22. ESCANEO DE VULNERABILIDAD CON NESSUS 62

FIGURA 23. ESCANEO DE VULNERABILIDAD CON NESSUS 63

FIGURA 24. DISEÑO DE LA RED ACTUALMENTE EN UPB MONTERÍA 65

FIGURA 25. REDISEÑO DE LA RED DE UPB MONTERÍA 66

FIGURA 26. CUADRANTE MÁGICO DE GARTNER PARA FIREWALLS 72

FIGURA 27. UTM FORTINET 77

FIGURA 28. APP-ID 82

FIGURA 29. APP-ID 83

FIGURA 30. USER-ID 83

FIGURA 31. CONTENIDO-ID 84

FIGURA 32. CENTRO DE COMANDOS 84

FIGURA 33. CONTROLES BASADO EN POLÍTICAS 84

FIGURA 34. DISEÑO TOPOLÓGICO 93

FIGURA 35. DIAGRAMA DE CONEXIONES 93

FIGURA 36. ARQUITECTURA DE SEGURIDAD 94

FIGURA 37. CREACIÓN DE REGLAS DE SEGURIDAD 96

FIGURA 38. PESTAÑA GENERAL 97

FIGURA 39. PESTAÑA SOURCE 97

FIGURA 40. PESTAÑA USER 98

FIGURA 41. PESTAÑA DESTINATION 98

14

FIGURA 43. PESTAÑA SERVICE/URL CATEGORY 99

FIGURA 44. PESTAÑA ACTION 100

FIGURA 45. MONITOREO DE LA RED 100

15

LISTA DE ANEXOS

Pág.

ANEXO A. AUTORIZACIÓN. 111

ANEXO B. MEDICIONES DE TRÁFICO DE RED DE UPB MONTERÍA. 111

ANEXO C. INVITACIÓN A PRESENTAR OFERTA. 114

ANEXO D. PRUEBAS DE VULNERABILIDADES CON UTM CHECK POINT. 123

16

GLOSARIO

CIBERSEGURIDAD: según lo explicado por Palo Alto Networks1_{, la ciberseguridad}

consiste en proteger los datos y la red del uso de personas no autorizadas.

CRIPTOGRAFIA: “La criptografía es el conjunto de técnica y procedimientos que permiten alterar la información de tal forma que no sea posible conocer su contenido, salvo por las personas autorizadas”2_.

DoS: como la define Caballero, Silleros y Shansaifar3_{., es un ataque de denegación}

de servicios por sus siglas en inglés (Denial of Service); que consiste en ataques para evitar que usuarios legítimos tengan acceso a un sistema o recurso, el ataque se puede dar por diversas maneras como sobrecarga de red, imposibiltar la autenticación de usuario o desconexión de la red electrica de un servidor o base de datos.

DDoS: “El ataque DDoS (distributed Denial of Service, Denegación de servico distribuido), es conceptuaente el mismo ataque anterior, pero proviene de varias máquinas, en ocaciones cientos o miles de ellas”4_.

FIREWALL: es un sistema que protege a un computador o a una red de computadores contra ataques o intrusiones originadas desde Internet u otras redes de terereos. Los firewall se encargan de filtrar los paquetes que se intercambian a través de Internet5_.

IANA: (Internet Assigned Numbers Authority). Entidad autoritativa de asignación de direcciones de Internet o direcciones IP6_.

IDS: de sus siglas en inglés (Intrusion Detection System) sistemas de detección de intrusos. Consiste en la de detección de accesos no autorizados a un computador o sistema informático7_.

IP: protocolo de Internet; encargado del direccionamiento de paquetes a través de las redes de datos, funciona en la capa de red del modelo OSI8_.

1 _{Palo Alto Networks. Disponible en Internet:}

https://www.paloaltonetworks.es/products/platforms/firewalls/pa-3000/overview.html

2 _{CABALLERO, María; CILLEROS, diego y SHAMSAIFAR, Abtin. El libro del hacker. Madrid. Ediciones Anaya}

Multimedia. 2015. P. 23-52. 3 _{Ibit., p. 29.}

4 _{Ibit., p. 29.}

5 _{KIOSKEA.NET. Firewall [en línea]. Junio de 2014. [Consultado 14 de marzo de 2016]. Disponible en Internet:} http://es.ccm.net/contents/proteccion-2675306562#590

6 _{CABALLERO. Op. Cit., p.63.}

7_{Seguridad de la Información. Capitulo8 [en línea]. 2013 [Consultado 13 de mayo de 2016]. Disponible en} internet: https://www.segu-info.com.ar/tesis/

17

IPS: “Sistema de Protección de Intrusiones. Son necesarios para redes que incorporan servidores con aplicaciones críticas y deben ser protegidas con filtrado de anti-Spam en correos entrantes”9_.

MALWARE: como la define Caballero, Silleros y Shansaifar10_{, software con un}

proposito malicioso, existen muchas variantes como: gusanos, troyanos, rootkits, spyware, keyloggers, etc.

PHISHING: caballero, Silleros y Shansaifar11 _{lo define como el método más simple}

y rápido de ingeniería social. Es un ataque via correo con páginas web maliciosas, el usuario descarga contenidos que pueden ser algún tipo de malware o correo basura.

POP: como la define Caballero, Silleros y Shansaifar12_{, (Post Office Protocol).}

Protocolo de oficina de correo, se utiliza para descargar los correos a un cliente POP desde un servidor de correos POP remoto.

SPAM: como lo explica Caballero, Silleros y Shansaifar13_{, Correo electrónico que se}

recibe de manera indeseada, o con origen desconocido, normalmente contienen publicidad; pero pueden ser utilizados para obtener información de manera malintencionada.

SSL: como lo explica Caballero, Silleros y Shansaifar14_{, (Secure Sockets Layer.}

SSL), protocolo de puerto seguro, utilizado por los navegadores para establecer canales seguros sobre Internet. Las páginas se identifican por HTTPS y se conectan a través del puerto 443 permitiendo comunicaciones de páginas web seguras. TLS: como lo explica Caballero, Silleros y Shansaifar15_{, Protocolo de capa de}

transporte seguro. (Transport Layer Security. TLS), nace a partir del SSL y su área de atención son los protocolos diferentes al HTTP, especialmente los correspondientes al correo electrónico (SMTP, POP, IMAP).

UTM: como lo describe Guerra16_{, un UTM (Unified Thread Management), manejo}

centralizado de amenazas; es un dispositivo de red que realiza las funciones

9 _{http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security}

10 _{CABALLERO. Op. Cit., p. 30.} 11 _{Ibit., p. 49.}

12 _{Ibit., p. 72.} 13 _{Ibit., p. 431.} 14 _{Ibit., p. 110.} 15 _{Ibit., p. 110.}

16 _{GUERRA, Cristian. Implementación de una red segura para los laboratorios del DEEE utilizando un dispositivo} UTM [en línea]. Tesis de pregrado. Sangolquí: Escuela Politécnica del ejército. Departamento de Eléctrica y

Electrónica, 2011. 149p. 2011. [Consultado 13 de febrero de 2016]. Disponible en

18

básicas de filtrado, pero también integra otras funciones como conexiones físicas y lógicas, direccionamiento IP, canales VPN, permisos de navegación, escaneo de antivirus, cifrado de conexiones, escaneo antispyware, anti spam, detección de intrusos (IDS), control a nivel de aplicaciones, la gestión del tráfico, entre otros. VPN: red privada virtual; se utiliza para conexiones seguras entre empresas a través de Internet17_.

17 _{CABALLERO, María; CILLEROS, diego y SHAMSAIFAR, Abtin. El libro del hacker. Madrid. Ediciones Anaya}

19

RESUMEN

El documento plantea la implementación de un UTM de nueva generación, a partir de análisis de tráfico de la red corporativa, pruebas en demostración de amenazas y fallos, análisis de los mejores Firewall UTM de nueva generación y la recomendación de implementación del firewall más adecuado para UPB Seccional Montería. Propone una tecnología para su adquisición e implementación.

Describe la identificación de la infraestructura actual de la red institucional de UPB Seccional Montería y el análisis de vulnerabilidades; evidenciándose las vulnerabilidades sobre todo el tráfico hacia y desde Internet que se cursa sin protección criptográfica, la no existencia de mecanismos de prevención de intrusiones y la falta de rigor técnico para implementar políticas de filtrado de páginas y contenidos Web no seguros y no permitidos, como causa también del problema se evidencia que no se puede hacer un buen monitoreo y buena gestión de la red.

El documento del proyecto propone el rediseño de la topología de Red de la UPB seccional Montería basada en las necesidades de seguridad para implementar una protección robusta en la integración del Firewall UTM de nueva generación perimetral, con el fin de mejorar la seguridad informática y el rendimiento de la red institucional.

20

1. INTRODUCCIÓN

Según Parraga18_{, la seguridad de la información es un aspecto relevante hoy en día}

en el área de las redes y comunicaciones, por lo cual es importante contar con soluciones integrales que permitan gestionar de manera eficiente las amenazas informáticas que tratan de comprometer la disponibilidad de los servicios o lucrarse con información confidencial. Para utilizar los servicios Web exige la implementación de una infraestructura segura de conectividad que mitigue los riesgos y posibles ataques debido a las vulnerabilidades que se pueden presentar en materia de seguridad de la información.

Según Palo Alto Networks19_{, líder en seguridad según el cuadrante de Gartner. Un}

Firewall unificado y de última generación es el componente de seguridad más estratégico para la implementación de políticas de seguridad, debido a que todo el tráfico de la red pasa por él por lo que se puede hacer control del tráfico de la red, prevención de ataques no solo a nivel de puertos de la red sino también a nivel de usuarios y aplicativos.

Los ataques de denegación de servicios (DoS), de inyección de código SQL a servidores de Bases de Datos vulnerables, que ponen en riesgo la confidencialidad de la información, entre otros; es posible tomar el control de servidores y el robo de información sensible y de gran valor para la institución, usuarios y clientes. Por ejemplo el robo de contraseñas.

Por las razones anteriores y las de dar un manejo seguro a la información como activo importante y de gran valor de la institución, la universidad Pontificia Bolivariana Seccional Montería se encuentra en la necesidad tecnológica de proteger todo su sistema información que pasa por su red Institucional y de Internet. Para ello la UPB Seccional Montería, preocupada por la seguridad de la red institucional, busca implementar controles y políticas de seguridad que minimicen los riesgos de pérdida de la confidencialidad, integridad y disponibilidad de la información.

18 _{PARRAGA NÚÑEZ, Víctor. Implementación de un gestor unificado de amenazas de seguridad para la red}

administrativa de la carrera de ingeniería de sistemas computacionales. Tesis de pregrado [en línea]. Guayaquil: Universidad de Guayaquil. Facultad de Ciencias Matemáticas y Físicas, 2014. 259p. Dic. 2014. [Consultado 13 de febrero de 2016]. Disponible en Internet: http://repositorio.ug.edu.ec/bitstream/redug/6672/1/TesisCompleta-536-2014.pdf.

21

22

2. FORMULACIÓN DEL PROBLEMA

2.1 TÍTULO DESCRIPTIVO DEL PROYECTO

IMPLEMENTACIÓN DE UN UTM (UNIFIED THREAT MANAGEMENT) PARA LA SEGURIDAD INFORMÁTICA EN LA UNIVERSIDAD PONTIFICIA BOLIVARIANA SECCIONAL MONTERÍA

2.2 CAUSAS DEL PROBLEMA

Se entiende como causa principal de las vulnerabilidades de la red corporativa cableada e inalámbrica de la Universidad Pontificia Bolivariana Seccional Montería los siguientes factores:

Todo el tráfico hacia y desde Internet pasa sin protección criptográfica, no existen mecanismos de prevención de intrusiones y falta rigor técnico para implementar políticas de filtrado de páginas y contenidos Web no seguros y no permitidos.

Con la tecnología utilizada actualmente no se puede hacer monitoreo y realizar las métricas necesarias para la buena gestión de tráfico de la red que permita hacer un uso del ancho de banda de manera eficiente y hacer balanceo de tráfico por diferentes operadores de Internet para garantizar la disponibilidad del servicio.

Con el Firewall por software no se puede hacer una buena gestión unificada de amenazas para proteger de manera más eficiente todo el tráfico de la red. La infraestructura de proxy/firewall por software implementado en cada VLAN corporativa puede ser causa de fallas de seguridad por la complejidad de la administración. Además se presentan bloqueos de tráfico cuando se supera el ancho de banda dedicado instalado, debido a la falta de control de tráfico y capacidad de manejo del hardware donde corre el Firewall.

23

2.3 CONSECUENCIAS DEL PROBLEMA

La falta de la gestión unificada de amenazas (UTM) de la Universidad Pontificia Bolivariana Seccional Montería puede traer consecuencias como pérdida en la confidencialidad, integridad y disponibilidad de los datos relacionados con todos los procesos administrativos y académicos que se llevan a cabo en la institución, como la fuga de datos de usuarios, que puede ser aprovechada por los accesos no autorizado en la red cableada e inalámbrica a falta de cifrado de las conexiones a Internet, inyección de malware como virus, gusanos, troyanos, spyware, entre otros. Todo lo anterior puede ocasionar problemas como ralentización del sistema, espionaje, ataques de Denegación de Servicios, intercepción de tráfico, entre otros.

Se presenta consumo de ancho de banda inadecuado; debido a que no hay un buen control de tráfico de la red, filtrado Web, virus, spam y control de contenidos. Como consecuencia se afectan los servicios corporativos web por lentitud del sistema. También se presentan interrupciones del servicio por saturaciones de tráfico del servidor Proxy/Firewall, bajo rendimiento del canal o ancho de banda por falta de control centralizado y la falta de medidas preventivas de manera eficiente.

24

3. JUSTIFICACIÓN

La Universidad Pontificia Bolivariana Seccional Montería cuenta con una Red Institucional (LAN, WiFi, Intranet e Internet); pero el rendimiento de la red se ha venido afectando por falta de controles de filtrados, manejos de contenidos y accesos no autorizados. Actualmente se hace una defensa proactiva de seguridad informática, no preventiva lo que puede dejar en riesgo a la institución educativa de sufrir pérdidas o fugas de información sensible. La infraestructura que se tiene actualmente con diferentes firewall lógicos en diferentes máquinas servidoras, complican la gestión y administración de la seguridad de la red. Adicionalmente, el crecimiento de la red y los servicios ofrecidos por Internet hacen más complejas las labores de monitoreo y prevención de ataques de seguridad. Actualmente no se realiza un buen control de tráfico por el funcionamiento de firewall separados en diferentes VLAN (Administrativa, Académica e Inalámbrica), lo que dificulta una buena administración de seguridad de la Red. Por lo tanto se hace necesario la implementación de firewall robusto y de manejo centralizado que proteja toda la red y los Sistemas de Información de UPB Montería contra amenazas, protección de datos personales y continuidad del negocio. De todo lo anterior surge el siguiente interrogante:

¿Por qué y cual tecnología de Firewall de nueva generación se debe implementar para protección de la red institucional de UPB Montería?

25

4. OBJETIVOS GENERAL

Implementar un Firewall de nueva generación UTM (Unified Threat Management) que provea los servicios de seguridad informática perimetral para la red corporativa de la Universidad Pontificia Bolivariana Seccional Montería.

4.1 OBJETIVOS ESPECÍFICOS

 Identificar la infraestructura de la red institucional de UPB Seccional Montería y la seguridad de la red mediante la recolección de información, para luego del análisis de los posibles fallos o vulnerabilidades establecer las mejoras que se deban hacer para integrar el UTM.

 Rediseñar el modelo de la topología de Red de la UPB Seccional Montería basada en las necesidades de seguridad para implementar una protección robusta en la integración del Firewall UTM perimetral, con el fin de mejorar la seguridad informática y el rendimiento de la red institucional.

 Analizar las diferentes tecnologías UTM, para implementar la más adecuada y viable para los recursos y requerimientos de seguridad de la UPB Seccional Montería.

 Implementar un Firewall UTM (Unified Threat Management) de nueva generación según análisis de la tecnología y viabilidad económica más adecuada para UPB, para mejorar la funcionalidad y seguridad de la red institucional en la Universidad Pontificia Bolivariana Seccional Montería.

26

5. ALCANCES Y LIMITACIONES

5.1 ALCANCES

El proyecto en desarrollo tiene como alcance la identificación de la infraestructura de red actual, el rediseño de esta de acuerdo a las necesidades y medidas de seguridad, análisis de las diferentes tecnologías de Firewall UTM de nueva generación, dimensionar los recursos de hardware necesarios pata la nueva tecnología e implementación de un Firewall de nueva generación en la Universidad Pontificia Bolivariana Seccional Montería ubicada en el campus principal de la ciudad de Montería.

Los aspectos de estudio comprenden el análisis de la tecnología adecuada UTM de nueva generación necesaria para cumplir con los requerimientos de seguridad informática de UPB Montería, teniendo en cuenta políticas de seguridad, el tráfico de la red, manejo de puertos, control de aplicativos, perfiles de usuarios y la factibilidad económica para su implementación.

5.2 LIMITACIONES

La UPB seccional montería no cuenta con el recurso humano suficiente y preparado para el soporte de alto nivel para la tecnología de firewall UTM de nueva generación que se recomiende de este estudio para su implementación. Por lo tanto en su implementación debe incluirse el soporte técnico de alto nivel suministrado por el fabricante.

El personal de soporte técnico especializado en seguridad informática de UPB Montería hará la administración, gestión y soporte técnico de primer nivel.

27

6. MARCO REFERENCIAL

6.1. ESTADO DEL ARTE

Consultando diferentes trabajos relacionados con la propuesta planteada, se tomaron algunos artículos y trabajos de grado que proponen soluciones a temáticas similares a las del proyecto, como se citan a continuación.

Según Parraga20_{, la seguridad de la información es un aspecto relevante hoy en día}

en el área de las redes y comunicaciones, por lo cual es importante contar con soluciones integrales que permitan gestionar de manera eficiente las amenazas informáticas que tratan de comprometer la disponibilidad de los servicios o lucrarse con información confidencial. Este proyecto de tesis tiene como objetivo primordial implementar una solución tecnológica que permita la gestión unificada de amenazas de seguridad basado en la modalidad de investigación de proyecto factible ya que el mismo quedará funcionando al cien por ciento operativo previo una reingeniería de las estructura de red en la carrera. Los gestores unificados de amenazas o UTM van más allá del concepto de los firewalls ya que en sí engloba varios servicios de red en una sola plataforma, tales como VPN, DNS, IPS, WAF, etc. Para este estudio se utilizó la modalidad de investigación cualitativa y cuantitativa, realizando encuestas a los estudiantes docentes y personal administrativo, acogiendo también la opinión emitida por un experto en el área de seguridad y redes al cual se entrevistó. Con esta propuesta se busca disminuir el impacto que puedan causar las amenazas de seguridad, facilidad de administración y configuración, y reportes oportunos que permitan la toma acertadas de decisiones al administrador de la red, con lo cual resulta beneficiada toda la comunidad educativa.

6.1.1 Similitud con el Problema Identificado21. La estructura de seguridad actual que tiene la red administrativa, permite todavía accesos de navegación no autorizados, penetraciones a la red, consumos no supervisados de ancho de banda y muchas debilidades expuestas que afectan la confidencialidad, integridad y disponibilidad de los datos, los intentos de intromisión por parte de las subredes de los laboratorios incrementa la posibilidad y probabilidad de ataques internos y contaminación de malware.

20 _{PARRAGA NÚÑEZ, Víctor. Implementación de un gestor unificado de amenazas de seguridad para la red}

administrativa de la carrera de ingeniería de sistemas computacionales. Tesis de pregrado [en línea]. Guayaquil: Universidad de Guayaquil. Facultad de Ciencias Matemáticas y Físicas, 2014. 259p. Dic. 2014. [Consultado 13 de febrero de 2016]. Disponible en Internet: http://repositorio.ug.edu.ec/bitstream/redug/6672/1/TesisCompleta-536-2014.pdf.

28

6.1.2 Solución dada al Caso22: según Parraga, la solución ofrecida por la Universidad de Guayaquil, se basa fundamentalmente en la implementación una solución integral tecnológica que permita la gestión unificada de amenazas de seguridad informática, en la estructura de red de la CISC, aplicando criterios basados en mejores prácticas de seguridad para proteger de manera centralizada el equipamiento lógico de la institución a nivel interno y perimetral asegurando la continuidad y operatividad de los servicios informáticos que son consumidos por la comunidad académica, y a su vez brindar al administrador de red facilidad de gestión e inmediata respuesta, frente a problemas o eventualidades presentados en la red. El problema de la Universidad de Guayaquil es muy semejante al de la Universidad Pontificia Bolivariana Seccional Montería frente a los problemas de vulnerabilidad presentados en la red, la necesidad de una gestión unificada de amenazas, es decir, la implementación de un UTM como solución tecnológica integral que permita mitigar los riesgos referentes a la seguridad informática. En la Figura 1 se representa el esquema de un Gestor Unificado de Amenazas (UTM).

Figura 1. Gestor Unificado de Amenazas en una Red

Fuente: Tesis de grado. Disponible en: http://repositorio.ug.edu.ec/bitstream/redug/6672/1/TesisCompl eta-536-2014.pdf

6.1.3 Evolución tecnológica de UTM. Los UTM han evolucionado en firewall de nueva generación, mejorando las funcionalidades integradas en un solo dispositivo,

29

el cual se conoce como UTM de nueva generación o Firewall de nueva generación, que puede funcionar por hardware con sistema operativo embebido en el dispositivo y que se conoce como Appliance, puede funcionar en versiones de software especialmente para ser instalado en servicios virtualizados o máquinas virtuales y también a nivel de alojamiento de dispositivos por hardware o software en la nube. Como explica Palo Alto Networks23_{, la seguridad tradicional basada en puertos y en}

infraestructura de la red presenta vulnerabilidades dado el crecimiento de las aplicaciones móviles de usuarios. Contenidos web y los mismos servicios virtualizados que se ofrecen a nivel empresarial. Los riesgos que se pueden presentar a nivel empresarial pueden superarse con la incorporación de medidas de prevención no solo basadas en puertos, sino también en control de perfiles de usuarios y control de uso de aplicaciones y contenidos. Los Firewall UTM de nueva generación permiten una seguridad perimetral empresarial con políticas que se aplican en torno al control de aplicaciones, usuarios y protección de contenidos habilitados. Es decir plantea habilitar de forma segura las aplicaciones, usuarios y contenidos mediante la clasificación del tráfico, el objetivo empresarial y la aplicación de las políticas de seguridad para permitir o proteger el acceso a aplicaciones de uso institucional, evitar amenazas eliminando aplicaciones no deseadas y aplicando políticas selectivas para el bloqueo de explotación de vulnerabilidades, virus, spyware, botnets y malware desconocidos. Proteger los centros de datos por medio de la validación de aplicaciones, proteger los entornos virtualizados aplicando las mismas políticas de seguridad perimetral, extender las medidas de seguridad a la informática móvil, sus usuarios y dispositivos independientemente de su ubicación.

6.2. MARCO TEÓRICO

6.2.1 Redes TCP/IP. García24 _{expresa que, las redes TCP/IP nacen en la década}

de los 60 como un proyecto auspiciado por la Agencia de Proyectos de Investigación Avanzada del Departamento de Defensa de los Estados Unidos (DARPA); como medida preventiva contra ataques a las redes de Telecomunicaciones de los Estados Unidos debidos en época de la guerra fría. Para ello, DARPA financia la investigación delegando a diferentes universidades para el desarrollo de una red distribuida de computadores como solución a las telecomunicaciones en situación de guerra.

Como resultado a nivel experimental se obtuvo la red ARPANET; que es una red de conmutación de paquetes desarrollada a mediados de los años 70. En 1974

23 _{Palo Alto Networks. Resumen de cortafuegos de nueva generación [en línea]. Mayo de 2016. [Consultado 17}

de mayo de 2016]. Disponible en Internet:

https://www.paloaltonetworks.com/content/dam/pan/en_US/assets/pdf/datasheets/firewall-features-overview/firewall-features-overview-es.pdf.

30

evoluciona en la familia de protocolos que utilizamos y conocemos hoy en día como redes TCP/IP.

El conjunto de protocolos TCP/IP se representa en cuatro capas según sus funciones, a diferencia del modelo OSI (Open System Interconnection) de siete capas creado en 1980 por la Organización Internacional de Normalización o ISO (International Organization for Standardization); en el modelo TCP/IP las capas de aplicación, presentación y sesión del modelo OSI se representa en una sola capa llamada Aplicación y la capa física y enlace de datos del modelo OSI, se representa en una sola capa llamada de Red en el modelo TCP/IP. (Ver Figura 2).

Figura 2. Modelo TCP/IP de Internet

Fuente: El autor.

La capa de Acceso a Red integra las funciones de capa física y de enlace de datos del modelo OSI. Toda interconexión LAN y WAN utiliza esta capa para su direccionamiento físico con las direcciones MAC (Media Access Control) a través de los diferentes medios de transmisión por cable, fibra óptica, inalámbrica o microondas. En esta capa se encapsulan los datos de capas superiores como TCP e IP en lo que se llama trama Ethernet.

La capa de Internet permite la interconexión de la Red mediante direccionamiento lógico o direcciones del Protocolo de Internet IPv4 o IPv6. Permite la interconexión de redes a través de dispositivos de capa 3 o de Internet como los enrutadores o Switches con funciones de capa 3.

31

envíos o control de flujos, acuses de recibos de segmentos de datos y tamaños de ventanas de transmisión simultánea de segmentos de datos entre hosts. Todas estas funcionalidades hacen fiables las conexiones de Internet y suplen las funciones que no tiene el protocolo IP en el direccionamiento de capa 3. En la capa de transporte también funciona el protocolo UDP de cabecera más sencilla comparada con la de TCP, UDP es utilizado para transmisiones de datos en tiempo real por tener una cabecera más sencilla, ejemplo en videoconferencias; UDP no realiza retransmisión de datos en caso de pérdida de un datagrama.

La capa de Aplicaciónaloja todas las aplicaciones que ofrecen servicios por Internet, como son: Servicios Web mediante el protocolo http o https, servicios de correo electrónico, transferencias de archivos, servicios de resolución de nombres, entre otros. Esta capa es utilizada por servidores, computadores o equipos terminales de la red.

En resumen, como se muestra en la Figura 2, es que en la capa de aplicación se realizan las comunicaciones entre dos programas. La capa de transporte realiza las funciones de cómo se realiza la comunicación entre los dos programas haciendo uso de puertos de servicios o números estandarizados que identifican un servicio. La capa de red o de Internet realiza el transporte de esta comunicación entre dos equipos terminales identificados por su dirección IP asignada a sus interfaces de red. La capa de Acceso a Red se encarga de transportar la información de cada equipo a través del medio de transmisión, mediante tramas Ethernet que utilizan direcciones MAC que corresponde a la interfaz de cada dispositivo conectado a la red.

6.2.2 Puertos de servicios Web. De acuerdo como los define Ziegler25_{, “Los}

servicios basados en red son programas que se ejecutan en una máquina a los que pueden acceder otros equipos de la red”, es decir, cada programa o servicios de red están identificados por un puerto en el modelo de Internet TCP/IP. Los puertos principales son bien conocidos y cubren el rango desde 1 a 1023. Estos puertos son asignados y coordinados por la autoridad de asignación de números de Internet (IANA, Internet Assigned Numbers Authority).

Los puertos de este rango inferior son llamados puertos privilegiados, son usados por programas con niveles de privilegios asignados por el Sistema Operativo, es decir tienen un nivel de root o súper usuario. Por lo tanto, se debe hacer una buena administración de los puertos abriendo solo los necesarios para los servicios Web ofrecidos.

Los servicios Web son anunciados a través de los puertos. Por ejemplo, si un servidor ofrece los servicios Web, este debe tener abierto el puerto 80 definido para http. Es decir, si una máquina se conecta al servidor asociado con el servicio Web, el servidor le va a dar respuesta a la solicitud realizada por la máquina de un usuario

32

a través de la conexión al puerto 80. Por el contrario si el servidor no tiene abierto el puerto 80, el programa del cliente que hace la solicitud a este, va a recibir un error indicándole que el servicio no está disponible. Adicionalmente los puertos superiores, desde 1024 a 65.535 son puestos no privilegiados y son usados con doble propósito para la asignación dinámica de las conexiones entre máquinas clientes y servidor. Además los puertos de 1024 a 49.151 son registrados por la IANA y son asociados también a servicios particulares como SOCKS o servidor proxy especial; cuya función es permitir accesos a servicios Web en un puerto especial, por ejemplo 1080, también puede ofrecer otros servicios como clientes de mensajerías instantánea, transferencias de archivos, entre otros.

En la Tabla 1, se muestra un resumen de los puertos más conocidos y registrados por la IANA. Estos puertos son normalmente habilitados dependiendo de los servicios ofrecidos por un servidor. Es de aclarar que el uso de algunos puertos, como el 23 de Telnet podría traer problemas de seguridad dado que no usa cifrado en las sesiones de usuario y contraseña. De igual forma es necesario conocer que puertos manejan ciertos niveles de seguridad o no y así evitar vulnerabilidades que pueden poner en riesgo la seguridad de la red.

Tabla 1. Puerto TCP/UDP

PUERTO TCP o UDP NOMBRE DEL PROTOCOLO NOMBRE DEL SERVICIO

20 TCP Protocolo de transferencia de archivos

(FTP) ftp-data

21 TCP Control de FTP ftp

22 TCP Shell segura (SSH) ssh

23 TCP Telnet telnet

25 TCP Protocolo simple de transferencia de correo

(SMTP) smtp

53 TCP/UDP Sistema de nombres de dominio (DNS) domain

80 TCP Protocolo de transferencia de hipertexto

(HTTP) http

110 TCP Protocolo de oficina de correos (POP3) pop3

115 TCP Protocolo simple de transferencia de

archivos (SFTP) sftp

143 TCP Protocolo de acceso a mensajes de

Internet (IMAP) imap

443 TCP Secure Sockets Layer (SSL o “HTTPS”) https

993 TCP Mail IMAP4 sobre SSL imaps

995 TCP/UDP Mail POP3 sobre SSL pop3s

Fuente: https://es.wikipedia.org/wiki/Anexo:N%C3%BAmeros_de_puerto

33

este nombre de host y servicio se traduce en una dirección IP correspondiente al servidor Web, además se asigna un puerto de los no privilegiado del navegador para iniciar la conexión. Se crea un mensaje HTTP para enviar al servidor Web, este mensaje es encapsulado en el datagrama TCP con una petición SYN y luego este es encapsulado en el paquete IP; este paquete IP es enviado hacia su destino a través de la LAN o de la WAN. (Ver Figura 3).

Figura 3. Petición de conexión

Fuente: el Autor.

34

Figura 4. Confirmación de conexión TCP

Fuente: el Autor.

35

Figura 5. Establecimiento de la conexión TCP

Fuente: el Autor.

6.2.4 Vulnerabilidades de la red. Como plantea Jordi Herrera26_{, las siguientes son}

las vulnerabilidades más comunes de las distintas capas:

Vulnerabilidades de la capa de red. Estas vulnerabilidades se presentan sobre el medio de conexión. Los fallos de seguridad son de control de acceso y de confidencialidad. Ejemplos de este nivel son interceptación intrusiva, escuchas no intrusivas en medios de transmisión inalámbricas, etc.

Vulnerabilidad de la capa de Internet. En esta capa son posibles los ataques que afectan los paquetes IP. Como las técnicas de Sniffing, la suplantación de mensajes, la modificación de datos, los retrasos de mensajes y la denegación de mensajes.

36

Vulnerabilidad de la capa de Transporte. Se ven comprometidos los datagramas IP que llevan información TCP o UDP. Los fallos de seguridad presentados aquí son de problemas de autenticación, de integridad y de confidencialidad. Uno de los ataques más conocidos es el de las denegaciones de servicio debidas a protocolos de transporte.

Vulnerabilidades de la capa de Aplicación. Se presenta fallas de seguridad asociadas a los diferentes protocolos de capas superiores. Se presenta una gran variedad de ataques a este nivel, debido al gran número de protocolos pertenecientes a esta capa. Algunos ejemplos de deficiencias de seguridad a este nivel son: en servicios de nombres de dominio, en Telnet, en FTP, http, entre otros.

6.2.5 Explotando la vulnerabilidad. Una de los programas utilizados para explotar la vulnerabilidad de un sistema o programa informático, es el exploit. Como lo explica García, Fernandez, Martinez y otros. “Un exploit es un programa diseñado para aprovechar la vulnerabilidad, fallo o error de un programa, con el objetivo de ejecutar un código o programa en la máquina atacada para conseguir el dominio de la misma” 27_.

Un exploit puede llegar a conseguir los siguientes objetivos de ataques:

 Deshabilitar un servicio ofrecido por un servidor como por ejemplo un antivirus, el firewall o cualquier otro aplicativo web.

 Denegación de servicios (DoS).

 Conseguir el control de la máquina atacada por medio de la consola del sistema operativo de la máquina.

 Abrir una puerta trasera de un sistema operativo o informático para tener la posibilidad de un futuro ataque por esta.

 Crear una cuenta de usuario con privilegios para validarse de manera que no se despierte sospecha de validación de usuario en un sistema, entre otros objetivos de ataque.

Como explica García, Fernández, Martínez y otros28 _{Los exploits pueden ser de tipo}

local o remoto. En el caso de los locales el ataque se realiza sobre una máquina de manera local por un usuario con privilegios restringidos con la posibilidad de mejorar sus privilegios hasta tener el de administrador; normalmente el objetivo de este ataque local es el de denegación de servicios DoS o tumbar un servicio Web. A diferencia del anterior el exploit remoto se realiza aprovechando una vulnerabilidad de un sistema remoto de servicios Web, correo electrónico, servicio FTP, entre otros.

37

Según García, Fernández, Martínez y otros29_{, la manera como se realicen estos}

ataques a través de exploit, pueden ser de tres tipos:

 Ataques a través de páginas Web; que son páginas web maliciosas con script generalmente escritos en Javascript que permite por error de código explotar un navegador web y aprovechar esta vulnerabilidad para inyectar software espía o maliciosa.

 Ataque a un servicio que corre en un puerto; consiste en enviar paquetes shellcode a través del o los puertos donde corre un servicio web y provocar un error en la maquina atacada. Este ataque puede también generar denegación de servicios a través de envíos masivos de paquetes de gran tamaño.

 Ataque de inyección SQL; consiste en atacar las bases de de datos a través de aplicaciones Web vulnerables, el ataque por medio de este exploit puede conseguir modificar o alterar o copiar una base de datos inyectando instrucciones maliciosas a la misma. Se puede conseguir también atacar el sistema operativo del sistema atacado.

6.2.6 Seguridad informática. “Según la ISO 27001, la seguridad de la información, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.” 30_.

Es decir, un sistema informático es confiable si cumple con las premisas de seguridad de: disponibilidad, confidencialidad e integridad de la información. La disponibilidad de un sistema de información es el acceso que se tiene a la información cuando se requiera y por el personal autorizado. La confidencialidad garantiza que solo la persona o personas autorizadas tienen accesos a ella. La integridad garantiza la calidad de los datos, es decir que los datos no han sufrido modificación sin permiso o pérdida de información. En la práctica es imposible tener un sistema completamente seguro, por tanto el objetivo es alcanzar un sistema confiable.

Las vulnerabilidades de seguridad que se pueden presentar se debe a varios factores como son: Código maliciosos como son los ataques de virus y habilitación de puertas traseras, atacantes internos que provienen de usuarios autorizados; vulnerabilidades en el equipamiento, por ejemplo, accesos no permitidos y errores de usuarios, fallas en la gestión de la seguridad de la empresa. Estos ataques tienen como objetivo romper con la confidencialidad, para luego conseguir el resto de la información.

29 _{Ibit., p. 116.}

38

Según como lo plantea Loinaz, Cortiñas y Ezeiza31_{, las políticas de seguridad de}

un sistema informático están basadas en tres mecanismos: prevención, detección y recuperación.

6.2.7 La prevención. La prevención es el primer nivel de protección contra ataques dirigidos a la red. El sistema cortafuegos o firewall, es un mecanismo de control de acceso sobre la capa de red, actúa como una barrera central a los servicios que se ejecutan internamente y externamente de la red. Los cortafuegos suelen ser muchas veces computadores dedicados únicamente al control del tráfico.

Existen cortafuegos basados en Linux a través de la herramienta IPtables, también existen los de tipo hardware con software embebido con funcionalidades integradas de última generación y con una mayor prestación de manejo de tráfico y gestión unificada de amenazas como son los UTM.

6.2.8 Protecciones. Son las acciones que pueda realizarse para mantener la disponibilidad, la confidencialidad y la integridad de la información, es decir, son las protecciones para no permitir la vulneración del sistema de información.

Las protecciones se realizan en tres instancias de tiempo: Antes, Durante y Después, que son los mecanismos de: La prevención, la detección y la recuperación. Uno de los mecanismos de protección es la criptografía o cifrados de datos, la cual estudiaremos a continuación.

6.2.8.1 La criptografía. La criptografía es la herramienta que se usa como mecanismo de protección de redes de comunicación, el objetivo es hacer la transmisión segura de la información en un medio inseguro.

Herrera, García y Perramón. Explican, “La criptografía estudia, desde el punto de vista matemático, los métodos de protección de la información. Criptoanálisis

estudia las posibles técnicas utilizadas para contrarrestar los métodos criptográficos, y es de gran utilidad para ayudar a que estos sean más robustos y difíciles de atacar. El conjunto formado por estas dos disciplinas, criptografía y criptoanálisis, se conoce como criptología.”32

Entre los sistemas de criptografía se consideran como principales, la criptografía de clave simétrica o de clave secreta y, la criptografía asimétrica o de clave pública.

6.2.8.2 Criptografía de clave simétrica. Según como lo explica Herrera, García y Perramón33_{. Es la clave usada por el emisor y el receptor, se conoce como clave}

simétrica. Dado que el medio de transmisión puede ser inseguro se debe buscar

31 _{LOINAZ, Iñaki, CORTIÑAS, Roberto y EZEIZA, Aitzol. (2005). Linux. Administración del sistema y la red.} Madrid. PEARSON EDUCACIÓN S.A. 2005. p.135.

32 _{HERRERA, Jordi; GARCÍA, Joaquín y PERRAMÓN, Xavier. Aspectos avanzados de seguridad en redes.} Mecanismos de protección. Barcelona. Universidad abierta de Cataluña, 2004, p. 7.

39

vías seguras para dar a conocer a los usuarios autorizados dicha clave. Ejemplo el uso del correo certificado. A continuación los diferentes métodos de cifrados: DES (Data Encryption Standart): Desarrollado por IBM en 1977, EEUU lo adoptó como estándar para el cifrado de las comunicaciones seguras. Se conforma por bloques de 64 bits pero su clave realmente es de 56 bits debido a que usa sólo 7 de los 8 bits disponibles. Se puede usar para cifrar y descifrar.

TripleDES: Se toma la decisión de mejorar las debilidades de DES ante ataques de fuerza bruta; la mejora consiste en hacer cifrados múltiples a partir del mismo DES (tres veces) con diferentes claves y, en 1999 se cambió entonces el DES por el TripleDES, hasta que se definiera el nuevo estándar AES.

AES (Advanced Encryption Standart): Tras de proponer un concurso para escoger el nuevo AES, el NIST (National Institute of Standars Technology) en 1998, escogió entre cinco finalistas el algoritmo Rijndael como nuevo estándar AES. Sus autores son Vincent Rijmen y Joan Daemen de origen belga, los cuales conformaron un algoritmo que pudo superar los niveles de cifrado a 128 bits propuesto por AES, llegando a niveles de 192 o 256 bits, cuyas características terminaron por desplazar definitivamente al DES y su variante TripleDES.

6.2.8.3 Criptografía de clave pública. Según como lo explica Herrera, García y Perramón34_{. La clave pública o asimétrica funciona con el manejo de dos claves, el}

mensaje se cifra con una clave y este solo puede ser descifrado con la otra clave. Por tanto aunque la transmisión se haga por un medio inseguro ofrece más fortaleza que la clave privada. A continuación los diferentes métodos de clave pública: Diffie-Hellman: En los 70´s los matemáticos Whitfield Diffie y Martín Hellman apoyados por Ralph Merkle (Informático), elaboraron un algoritmo capaz de realizar el intercambio de una clave de criptografía convencional utilizando un intercambio público de información.

RSA: Creado por Ron Rivest, Leonard Adleman y Adi Shamir en 1977, se fundamentaron en los algoritmos del Máximo común divisor de Euclides (Grecia 450-377 AC) y el Teorema de Fermat (Francia1601-1665). La fortaleza del sistema radica en que: se requiere mucho tiempo para factorizar n, y en caso de mejorar los recursos de cómputo para hacer los cálculos, se puede aumentar su tamaño garantizando la seguridad. Además, para descifrar se requiere que sin p y q (son secretos) no se puede encontrar.

40

Actualmente se puede implementar una infraestructura de clave pública conocida como PKI; su funcionalidad consiste en que una entidad certificadora garantiza que el uso de la clave pública pertenece a sus usuarios propietarios.

Otro de los mecanismos de protección es el de protocolos seguros a nivel de transporte, como: SSL, TLS y WTLS.

El protocolo de transporte Secure Sockets Layer (SSL), fue desarrollado por Netscape a principios de los años 90. También es utilizado por otros navegadores para establecer canales seguros sobre Internet. Las páginas se identifican por HTTPS y se conectan a través del puerto 443, este protocolo está más orientado al servicio del comercio y a la banca electrónica. Permite el cifrado de datos por algoritmos simétricos como 3DES, y la clave de sesión con algoritmos asimétricos como RSA.

La especificación Transport Layer Security (TLS), elaborada por la IETF (Internet Engineering Task Force), fue publicado en el documento RFC 2246. Fue generado a partir de la versión 3.1 del SSL y su área de atención son los protocolos diferentes al HTTP, especialmente los correspondientes al correo electrónico (SMTP, POP, IMAP).

El protocolo Wireless Transport Layer Security (WTLS), perteneciente a la red de dispositivos móviles o inalámbricos. La base de este protocolo, es SSL/TLS, lo adicional de él, procura hacer una mejor administración de los dispositivos que es capaz de manejar, optimizando para tal efecto el uso del ancho de banda disponible. Otra alternativa de protección es el establecimiento red privada virtual o VPN, que es un medio de comunicación confidencial que no puede ser interceptado por usuarios ajenos a la red, se fundamenta en el encapsulamiento de protocolos que se utilizan sobre la infraestructura de la red pública, como internet, para establecer por encima de ella una red virtual.

6.2.9 La recuperación. Este es uno de los mecanismos de seguridad más usado; consiste en la realización de copias de seguridad, esto garantiza la disponibilidad e integridad, para darle mayor eficacia se debe complementar con los mecanismos de prevención, detección y confidencialidad.

6.3. MARCO CONCEPTUAL

41

través de Internet35_{. El firewall incorpora interfaces para la red interna (Red a}

proteger) e interfaces para la red externa (Acceso a Internet). Pueden funcionar por hardware conocidos como apliance o software corriendo sobre un servidor y su funcionalidad consiste en filtrado de paquetes, filtrado de aplicaciones, portección de virus, spam y prevencion de intrusiones.

Como lo explica García, Fernández, Martínes y otros36_{, los firewall son un sistema}

de defenza que permite o deniegan un servicio basados en reglas configurables y otros criterios predefinidos. Realizan bloqueos de paquetes por puertos, direcciones o rangos de IP, dominios, direcciones de correo, protocolos y aplicativos Web no autorizados. Adicionalmente los firewall generan reportes ´que son utilizados por el administrador de seguridad y verificar el comprotamiento de la red interna y externa, pueden almacenar registros o logs que son útiles para anális forence, permiten la segmentación segura de la red y además integran las funciones de defensa en contra de virus, spam, malware, ransomware, entre otros tipos de virus.

6.3.2 Clasificación de los Firewall. Como lo explica García, Fernández, Martínes y otros37_{, pueden claificarse según su modo de empleo como:}

 Modelo de arquitectura. Dependiendo del lugar donde se aplique, si se ubica en la parte externa de la red y se comunica con Internet se denomina firewall de contención, si se ubica internamente en la red y protege las redes internas se denomina firewall bastión. Si solo hay un firewall protegiendo la red se denomina bastón.

 Firewall por Software. Estos son instalados en un servidor, como son Iptables de Linux, Pfsense de Linux, VPN-1/Firewall-1 de Checkpoint, o ISA server de Microsoft entre otros.

 Firewall Appliance. Es un dispositivo con aplicaciones de hardware embebidas con su propio sistema operativo y solo requiere configuraciones mínimas para funcionar, comos son: PIX Firewall de Cisco, Checkpoit, Palo Alto Network, SonicWall de Cisco, Fortinet, entre otros. Los Appliance presentan características de tener hardware y Software embebidos, el software se ejecuta en su propio sistema operativo, Se apoya con otros fabricantes para mejorar la seguridad, poseen un hardware de mejor rendimiento y procesamiento para ciertos algoritmos de cifrado de datos.

35 _{KIOSKEA.NET. Firewall [en línea]. Junio de 2014. [Consultado 14 de marzo de 2016]. Disponible en Internet:} http://es.ccm.net/contents/proteccion-2675306562#590

42

6.3.3 Arquitectura de firewalls. Como lo explica García, Fernández, Martínes y otros38_{, existen diferentes arquitecturas de firewall según la ubicación y la forma}

como protege a la red, a continuación estudiaremos las siguientes:

6.3.3.1 Arquitectura con Firewall Bastión. Este tipo de arquitectura implementa normalmente un solo firewall que protege la red interna de la red exterior; que normalmente es la red de Internet. La Figura 6 siguiente muestra la arquitectura:

Figura 6. Arquitectura de Firewall Bastión.

Red Interna Firewall

Red Internet

Fuente: El autor.

6.3.3.2 Arquitectura Firewall DMZ y Red Interna. Esta arquitectura contempla una zona o zonas llamadas “Zonas desmilitarizadas” o DMZ; en esta zona se ubican los servicios que se requieren publicar a Internet o de acceso al público como son los servicos de correo lectrónico, servidores de página Web, servidores de dominios DNS, entre otros que requieren publicación a Internet. Por lo tanto el firewall requiere mínimo de tres interfaces: Una para proteger la red interna, otra para proteger la zona desmilitarizada DMZ y la tercera para la red externa o de Internet. La Figura 7 siguiente visualiza la arquitectura.

Figura 7. Arquitectura de Firewall DMZ y red interna.

Red Interna Firewall

Red Internet

DMZ

Fuente: el autor.

43

6.3.3.3 Arquitectura firewall Contención – Bastión. Para esta arquitectura se utilizan dos firewall; el bastión protegiendo la DMZ de la red externa y uno interno entre la red DMZ y la red Interna; protegiendo la red interna del tráfico que entra de la DMZ, adicionalmente protege también de la red externa o de Internet. La configuración de las políticas en esta configuración es de mucho cuidado porque no son las mismas para cada firewall. La siguiente Figura 8 muestra la arquitectura.

Figura 8. Arquitectura Firewall Contención-Bastión

Red Interna Firewall

Bastión Red Internet

Firewall de Contención DMZ

Fuente: el autor.

6.3.3.4 Arquitectura de Alta Disponibilidad. Este tipo de arquitectura se implementa en firewall perimetrales de red y en la que se debe garantizar la continuidad del servicio. A falla de uno el otro firewall sigue funcionando. Esta funcionalidad se conoce como firewall en clúster. La Figura 9 muestra la arquitectura.

Figura 9. Arquitectura Alta disponibilidad.

Red Interna Cluster

Firewall

Red Internet

44

Es importante explicar varios conceptos al implementar un firewall, como son:

6.3.4 NAT. Como lo explica García, Fernández, Martínes y otros39 _{(Network Address}

Translation), consiste en el mapeo de direcciones IP, de tal manera que una dirección de servidor que necesita ser publicada en internet se le esconde con la del Firewall. Esto puede ser muy util en la escaces de direcciones IPv4 y además para mejorar la seguridad de la red puesto que el servidor no estaría expuesto directamente a Internet con una IP pública.

6.3.5 NAPT. (Network Address Port Translation), en este caso un grupo de puertos asociados a una dirección IP son trasladados a otros puertos de otra IP. Esta tralación es util para dar mejor protección de servicios en puertos conocidos.

6.3.6 SPOOFING. Como lo explica García, Fernández, Martínes y otros40_{, son}

paquetes con información falsa que provienen de una red externa pero que como origen tiene una dirección IP privada perteneciente al grupo de direcciones IP privadas en la red interna, esto puede confundirese como tráfico normal perteneciente al grupo de direcciones IP privadass de la red interna. Para controlar este tipo de tráico se debe configurar reglas en firewall para que no permita direcciones IP privades desde la red externa o de Internet, este mecaanismos se conoce como anti spoofing.

6.3.7 FRAGMENTACIÓN. Una de las vulnerabilidades del filtrado de paquetes era la fragmentación; es decir se revisaba solo el encabezado de paquetes fragmentados y luego se dejaba pasar los siguientes fragmentos sin verificación, por lo tanto la RFC 1858 define los metodos para detener la fragmetación y separación de los puertos TCP y UDP.

6.3.8 UTM (Unified Threat Management). Gestor unificado de amenazas, incorpora las funcionalidades de protección de la red en tiempo real contra múltiples amenazas cada vez más peligrosas y complejas por la misma evolución tecnológica y nuevos servicios integrados a la red. Es un dispositivo de hardware y software de nueva generación de los sistemas de protección de la red. Detectan y eliminan las amenazas presentes en contenidos de correo electrónico o tráfico Web como virus, gusanos, intrusiones, contenidos web maliciosos; con protecciones en tiempo real y sin degradación del tráfico de la red. La Figura 10 muestra un esquema de protección de la red con UTM, para diferentes dispositivos interconectados y diferentes servicios de protección contra amenazas.

39 _{Ibit., p. 382.}

45

Figura 10. Esquema de protección con UTM

Fuente: http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security

Para la implementación de un UTM, es necesario considerar además de los requerimientos básicos de protección, otras considereaciones claves que se centran en la parte operativa como las siguientes:

6.3.9 Funcionalidad IPS. La primera consideración es la de que servios se necesitan y en donde están los que se necesitan. Para los sistemas de red con servidores que incorporan aplicaciones críticas, es necesario el Sistema de Protección de Intrusiones (IPS), con filtrado de anti-spam en correos electróncos entrantes. Si se considera un alto impacto de información privilegiada se puede pensar en implementación de de las IPS en los segmentos internos de la red que alojan vases de datos, dejando el filtrado para otros dispositivos UTM desplegados41_.

6.3.10 Rendimiento. Cuando se combinan muchas funcionalidades en un solo dispositivo es necesario considerar el rendimiento dependiendo de la cantidad de módulos en servicio en el UTM. Por ejemplo, si se incorpora la fucnionalidad de antivirus puede afectarse el rendimiento y se puede desmejorar si se incorpora otros módulos, como por ejemplo, protección contra denegación de servicios (DoS).

6.3.11 Balanceo de carga. Una forma de hacer frente a un aumento del tráfico es distribuir la carga de trabajo a través de múltiples dispositivos o hacer distribución de tráfico por diferentes interfaces. La configuración óptima dependerá de la particular, los patrones de tráfico y la arquitectura de una red, por lo tanto la estrategias de implementación puede ser un factor distintivo entre los dispositivos UTM. Otra cuestión a considerar durante las evaluaciones UTM es si los productos tienen una infraestructura de hardware modular que distribuye la potencia de procesamiento entre las contramedidas para lograr el mejor rendimiento general42_.

41 _{http://searchnetworking.techtarget.com/How-to-evaluate-and-manage-UTM-for-network-security}

46

6.4. CIBERSEGURIDAD

Según lo explicado por Palo Alto Networks43_{, la ciberseguridad consiste en proteger}

los datos y la red del uso no autorizado. Para ello se requiere de los Firewall con políticas de control de accesos detallados, además de garantizar la integridad de los datos, debido a que estos pueden ser dañados por amenazas ocultas, por lo que se requiere integrar muchas funcionalidades de protección para poder proteger los datos de las amenazas cada vez más complejas. Para alcanzar los niveles adecuados de seguridad, se debe reducir la superficie de ataques, evitar amenazas conocidas, detectar amenazas desconocidas y darlas a conocer y mitigar infecciones del día cero.

6.5. MARCO LEGAL

El marco legal colombiano en su constitución política contempla en el artículo 15 el derecho fundamental de habeas data y en el artículo 20 la libertad de información. Seguidamente se describe la legislación colombiana de manera cronológica:

6.5.1 Ley 527 de 199944_{. “Por medio de la cual se define y se reglamenta el acceso} y uso de los mensajes de datos, comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disponibles”.

6.5.2 Ley 1266 de 200845_{. “Por la cual se dictan las disposiciones generales del} Hábeas Data y se regula el manejo de la información en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países”.

6.5.3 Ley 1273 de 200946_{. “Por medio de la cual se modifica el Código Penal, se} crea un nuevo bien jurídico tutelado denominado “de la protección de la información y de los datos” y se preservan integralmente los sistemas que utilicen las tecnologías de la información y la comunicaciones, entre otras disposiciones”.

43 _{Palo Alto Networks. Disponible en Internet:}

https://www.paloaltonetworks.es/products/platforms/firewalls/pa-3000/overview.html

44 _{Alcaldía de Bogotá. Ley 527 de 1999 nivel nacional. Diario Oficial 43.673 del 21 de agosto de 1999.}

[en línea]. 2017. [Consultado mayo 15 de 2017]. Disponible en Internet:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4276. 16 p.

45 _{Secretaría del Senado. Congreso de la República. Colombia. Ley estatutaria 1266 de 2008. Diario Oficial No.} 47.219 de 31 de diciembre de 2008 [en línea]. 2017. [Consultado mayo 31 de 2017]. Disponible en Internet: http://www.secretariasenado.gov.co/senado/basedoc/ley_1266_2008.html. 18 p.

46 _{Alcaldía de Bogotá. Ley 1273 de 2009 nivel nacional. Diario Oficial 47.223 de enero 5 de 2009 [en línea].}

2017. [Consultado mayo 31 de 2017]. Disponible en Internet: